Renouveler des certificats Azure Key VaultRenew your Azure Key Vault certificates

Avec Azure Key Vault, vous pouvez facilement provisionner, gérer et déployer des certificats numériques pour votre réseau, et sécuriser les communications pour vos applications.With Azure Key Vault, you can easily provision, manage, and deploy digital certificates for your network and enable secure communications for your applications. Pour plus d’informations sur les certificats, consultez À propos des certificats Azure Key Vault.For more information about certificates, see About Azure Key Vault certificates.

En utilisant des certificats à courte durée de vie ou en augmentant la fréquence de rotation des certificats, vous pouvez empêcher les utilisateurs non autorisés d’accéder à vos applications.By using short-lived certificates or by increasing the frequency of certificate rotation, you can help prevent access to your applications by unauthorized users.

Cet article explique comment renouveler vos certificats Azure Key Vault.This article discusses how to renew your Azure Key Vault certificates.

Recevoir des notifications concernant l’expiration des certificatsGet notified about certificate expiration

Pour être informé des événements de la durée de vie d’un certificat, vous devez ajouter le contact de ce dernier.To get notified about certificate life events, you would need to add certificate contact. Les contacts du certificat contiennent des informations de contact pour l’envoi de notifications déclenchées par des événements de durée de vie de certificat.Certificate contacts contain contact information to send notifications triggered by certificate lifetime events. Les informations de contact sont partagées par tous les certificats dans le coffre de clés.The contacts information is shared by all the certificates in the key vault. Une notification est envoyée à tous les contacts spécifiés pour un événement pour n’importe quel certificat dans le coffre de clés.A notification is sent to all the specified contacts for an event for any certificate in the key vault.

Étapes de définition des notifications de certificat :Steps to set certificate notifications:

Tout d’abord, ajoutez un contact de certificat à votre coffre de clés.First, add a certificate contact to your key vault. Vous pouvez effectuer l’ajout à l’aide du portail Azure ou de l’applet de commande PowerShell Add-AzureKeyVaultCertificateContact.You can add using Azure portal or PowerShell cmdlet Add-AzureKeyVaultCertificateContact.

Ensuite, configurez le moment où vous souhaitez être averti de l’expiration du certificat.Second, configure when you want to be notified about the certificate expiration. Pour configurer les attributs de cycle de vie du certificat, consultez Configurer la rotation automatique d’un certificat dans Key Vault.To configure the lifecycle attributes of the certificate, see Configure certificate autorotation in Key Vault.

Si la stratégie d’un certificat est définie sur le renouvellement automatique, une notification est alors envoyée pour les événements suivants.If a certificate's policy is set to auto renewal, then a notification is sent on the following events.

  • Avant le renouvellement du certificatBefore certificate renewal

  • Après le renouvellement du certificat, indiquant si le certificat a été renouvelé, ou si une erreur s’est produite, nécessitant un renouvellement manuel du certificat.After certificate renewal, stating if the certificate was successfully renewed, or if there was an error, requiring manual renewal of the certificate.

    Quand la stratégie d’un certificat est définie pour un renouvellement manuel (e-mail uniquement), une notification est envoyée lorsqu’il est temps de renouveler le certificat.When a certificate policy that is set to be manually renewed (email only), a notification is sent when it's time to renew the certificate.

Dans Key Vault, il existe trois catégories de certificats :In Key Vault, there are three categories of certificates:

  • Certificats créés à l’aide d’une autorité de certification intégrée, telle que DigiCert ou GlobalSignCertificates that are created with an integrated certificate authority (CA), such as DigiCert or GlobalSign
  • Certificats créés avec une autorité de certification non intégréeCertificates that are created with a nonintegrated CA
  • Certificats auto-signésSelf-signed certificates

Renouveler un certificat d’une autorité de certification intégréeRenew an integrated CA certificate

Azure Key Vault gère la maintenance de bout en bout des certificats émis par les autorités de certification Microsoft approuvées DigiCert et GlobalSign.Azure Key Vault handles the end-to-end maintenance of certificates that are issued by trusted Microsoft certificate authorities DigiCert and GlobalSign. Découvrez comment intégrer une autorité de certification approuvée avec Key Vault.Learn how to integrate a trusted CA with Key Vault.

Renouveler un certificat d’autorité de certification non intégréeRenew a nonintegrated CA certificate

En utilisant Azure Key Vault, vous pouvez importer des certificats à partir de n’importe quelle autorité de certification, ce qui vous permet de bénéficier d’une intégration avec plusieurs ressources Azure et de simplifier le déploiement.By using Azure Key Vault, you can import certificates from any CA, a benefit that lets you integrate with several Azure resources and make deployment easy. Si vous vous inquiétez de perdre la trace des dates d’expiration de vos certificats ou, pire, si vous avez découvert qu’un certificat a déjà expiré, votre coffre de clés peut vous aider à rester à jour.If you're worried about losing track of your certificate expiration dates or, worse, you've discovered that a certificate has already expired, your key vault can help keep you up to date. Pour les certificats d’autorité de certification non intégrée, le coffre de clés vous permet de configurer des notifications par e-mail juste avant l’expiration.For nonintegrated CA certificates, the key vault lets you set up near-expiration email notifications. Ces notifications peuvent également être définies pour plusieurs utilisateurs.Such notifications can be set for multiple users as well.

Importante

Un certificat est un objet avec version.A certificate is a versioned object. Si la version actuelle arrive à expiration, vous devez créer une nouvelle version.If the current version is expiring, you need to create a new version. Conceptuellement, chaque nouvelle version est un nouveau certificat composé d’une clé et d’un objet blob qui lie cette clé à une identité.Conceptually, each new version is a new certificate that's composed of a key and a blob that ties that key to an identity. Lorsque vous utilisez une autorité de certification non partenaire, le coffre de clés génère une paire clé/valeur et retourne une demande de signature de certificat (CSR).When you use a nonpartnered CA, the key vault generates a key/value pair and returns a certificate signing request (CSR).

Pour renouveler un certificat d’autorité de certification non intégrée, effectuez les étapes suivantes :To renew a nonintegrated CA certificate, do the following:

  1. Connectez-vous au portail Azure, puis ouvrez le certificat que vous souhaitez renouveler.Sign in to the Azure portal, and then open the certificate you want to renew.
  2. Dans le volet du certificat, sélectionnez Nouvelle version.On the certificate pane, select New Version.
  3. Sélectionnez Opération de certificat.Select Certificate Operation.
  4. Sélectionnez Télécharger CSR pour télécharger un fichier CSR sur votre disque local.Select Download CSR to download a CSR file to your local drive.
  5. Envoyez la demande de signature de certificat à l’autorité de certification de votre choix pour signer la demande.Send the CSR to your choice of CA to sign the request.
  6. Ramenez la demande signée et sélectionnez Fusionner CSR dans le même volet d’opération de certificat.Bring back the signed request, and select Merge CSR on the same certificate operation pane.

Nota

Il est important de fusionner la demande de signature de certificat signée avec celle que vous avez créée,It's important to merge the signed CSR with the same CSR request that you created. sinon la clé ne correspondra pas.Otherwise, the key won't match.

Pour plus d’informations sur la création d’une nouvelle demande de signature de certificat, consultez Création et fusion d’une demande de signature de certificat dans Key Vault.For more information about creating a new CSR, see Create and merge a CSR in Key Vault.

Renouveler un certificat auto-signéRenew a self-signed certificate

Azure Key Vault gère également le renouvellement automatique des certificats auto-signés.Azure Key Vault also handles autorenewal of self-signed certificates. Pour en savoir plus sur la modification de la stratégie d’émission et sur la mise à jour des attributs de cycle de vie d’un certificat, consultez Configurer la rotation automatique d’un certificat dans Key Vault.To learn more about changing the issuance policy and updating a certificate's lifecycle attributes, see Configure certificate autorotation in Key Vault.

DépannerTroubleshoot

Si le certificat émis est à l’état Désactivé dans le portail Azure, accédez à Opération de certificat pour afficher le message d’erreur du certificat.If the issued certificate is in disabled status in the Azure portal, go to Certificate Operation to view the certificate's error message.

Forum aux questionsFrequently asked questions

Comment faire pour tester la fonctionnalité de rotation automatique du certificat ?How can I test the autorotation feature of the certificate?

Créez un certificat avec une validité de 1 mois , puis définissez l’action de durée de vie pour la rotation à 1 % .Create a certificate with a validity of 1 month , and then set the lifetime action for rotation at 1%. Avec ce paramètre, il y aura une rotation du certificat toutes les 7,2 heures.This setting will rotate the certificate every 7.2 hours.

Les étiquettes seront-elles répliquées après le renouvellement automatique du certificat ?Will the tags be replicated after autorenewal of the certificate?

Oui, les étiquettes sont répliquées après le renouvellement automatique.Yes, the tags are replicated after autorenewal.

Étapes suivantesNext steps